[GTER] NTP como amplificador de ataques

Eduardo Schoedler listas at esds.com.br
Tue Jan 14 18:15:39 -02 2014 

Sobre o JunOS, achei essa sugestão do Team Cymru [1]:

from {
    source-address {
        0.0.0.0/0;
        /* NTP server to get time from */
        192.0.2.1/32 except;
    }
    protocol udp;
    port ntp;
}
then {
    discard;
}


Referência:
[1] http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

att,

--
Eduardo Schoedler



Em 14 de janeiro de 2014 18:12, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
> amplificação via NTP, aproveitando de características que o NTP herdava dos
> tempos ingênuos do começo da Internet. Para saber se você tem algum máquina
> com problema, verifique o site
> http://openntpproject.org/
>
> Segue como fazer para resolver isso, numa sugestão da sempre pontual equipe
> do ntp.br:
>
> ----------------------------------
>
> Sugestões (bastante restritivas para máquinas que são apenas clientes e
> não servidores ntp):
>
> - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
> - use a seguinte conf (os pontos chave são retirar qualquer linha
> "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
> default", acrescentar "disable monitor"):
>
> # opcional (sincroniza mais rapido quando desliga/liga):
> # "memoria" para o desvio de frequencia do computador
> # pode ser necessario criar esse arquivo manualmente com
> # o comando touch ntp.drift
> driftfile /etc/ntp.drift
>
> # opcional:
> # estatisticas do ntp que permitem verificar o historico
> # de funcionamento e gerar graficos
> statsdir /var/log/ntpstats/
> statistics loopstats peerstats clockstats
> filegen loopstats file loopstats type day enable
> filegen peerstats file peerstats type day enable
> filegen clockstats file clockstats type day enable
>
> # servidores publicos do projeto ntp.br
> server a.st1.ntp.br iburst
> server b.st1.ntp.br iburst
> server c.st1.ntp.br iburst
> server d.st1.ntp.br iburst
> server gps.ntp.br iburst
> server a.ntp.br iburst
> server b.ntp.br iburst
> server c.ntp.br iburst
>
> # configuracoes de restricao de acesso para todos
> # permite consultas de tempo ainda, mas bloqueia tudo mais
> # se quiser bloquear consultas de tempo, use o firewall
> restrict default noquery notrap nomodify nopeer
> restrict -6 default noquery notrap nomodify nopeer
>
> # configuracoes de restricao de acesso para
> # seu próprio host, permite queries
> restrict 127.0.0.1 notrap nomodify nopeer
> restrict -6 ::1 notrap nomodify nopeer
>
> # desabilitar comando monlist (usado em ataques DDoS)
> disable monitor
>
> --------------
>
> Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
> indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
> controle... alguém tem uma sugestão de firewall-filter para este caso ?
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Eduardo Schoedler

More information about the gter mailing list